間諜軟體(infostealer)

間諜軟體

infostealer一般指本詞條

間諜軟體是一種能夠在用戶不知情的情況下,在其電腦上安裝後門、收集用戶信息的軟體。它能夠削弱用戶對其使用經驗、隱私和系統安全的物質控制能力;使用用戶的系統資源,包括安裝在他們電腦上的程式;或者蒐集、使用、並散播用戶的個人信息或敏感信息。

基本介紹

  • 中文名:間諜軟體
  • 蒐集:個人信息或敏感信息
  • 類型:軟體
  • 削弱:用戶對其使用經驗
簡介,危害,防治辦法,預防方式,常用方法,如何刪除,

簡介

ASC反間諜軟體聯盟)於2005年8月起草 “間諜軟體”這一概念,並將“間諜軟體和其他潛在的有害技術”如此定義:它能夠“削弱用戶對其使用經驗、隱私和系統安全的物質控制能力;使用用戶的系統資源,包括安裝在他們電腦上的程式;或者蒐集、使用、並散播用戶的個人信息或敏感信息。”
間諜軟體間諜軟體
“間諜軟體”其實是一個灰色區域,所以並沒有一個明確的定義。然而,正如同名字所暗示的一樣,它通常被泛泛的定義為從計算機上蒐集信息,並在未得到該計算機用戶許可時便將信息傳遞到第三方的軟體,包括監視擊鍵,蒐集機密信息(密碼、信用卡號、PIN碼等),獲取電子郵件地址,跟蹤瀏覽習慣等。間諜軟體還有一個副產品,在其影響下這些行為不可避免的影響網路性能,減慢系統速度,進而影響整個商業進程。雖然其原理也是基於C/S模式的網路連線,但是在連線時卻將態度轉了180度:這次的入侵,發出第一個連線請求的不再是遠程控制者使用的客戶端,而是受害者的木馬伺服器端。第一個使用此概念的木馬名為“網路神偷”,被設計用來從區域網路內往外盜取檔案數據。
間諜軟體之所以成為灰色區域,主要因為它是一個包羅萬象的術語,包括很多與惡意程式相關的程式,而不是一個特定的類別。大多數的間諜軟體定義不僅涉及廣告軟體、色情軟體和風險軟體程式,還包括許多木馬程式,如Backdoor Trojans, Trojan Proxies 和 PSW Trojans等。這些程式第一個AOL密碼盜取程式出現時就已經存在,只是還沒有“間諜軟體”這個術語。
間諜軟體的另外一個附屬品就是廣告軟體。此時,間諜軟體以惡意後門程式的形式存在,該程式可以打開連線埠、啟動ftp伺服器、或者蒐集擊鍵信息並將信息反饋給攻擊者。間諜軟體可以存在於合法的(並可接受的)商業應用程式中,可以給網路管理員在影響和監視系統方面很大的權力。
儘管這些程式並非很新,但有惡意目的的程式卻不斷增加,引起媒體和反間諜軟體開發商的很大關注。
間諜軟體是一種能夠在用戶不知情的情況下,在其電腦上安裝後門、收集用戶信息的軟體。
間諜軟體為求生存空間,亦隨著潮流而國際化。留意右圖的一件國際化了的間諜軟體畫面擷取。軟體除了在視覺效果和感官上都力求與微軟公司的反間諜軟體類似,意圖是混淆視聽,使用戶在不知不覺中讓軟體自行安裝。
間諜軟體產生商
* GAIN:旗下的“商品”有
o Precision Time
o DateManager
o ErrorGuard、Malware Destructor:聲稱是“最有效的反間諜軟體”,透過彈出視窗來恐嚇用戶,指他們在瀏覽兒童色情網頁,而要向FBI告發,從而誘騙用戶安裝他們的軟體。事後,有其他用戶發現它其實亦是間諜軟體。
o DashBar
o ScreenScenes: Butterfly Oasis Screensaver
* Innovative Marketing, Inc.
o ErrorSafe:隨同會安裝Ethalone的Ghost install及HotBar。

危害

用戶的隱私數據和重要信息會被“後門程式”捕獲,並被傳送給黑客、商業公司等。這些“後門程式”甚至能使用戶的電腦被遠程操縱,組成龐大的“殭屍網路”,這是網路安全的重要隱患之一。
例如:某些軟體會獲取用戶的軟硬體配置,並傳送出去用於商業目的。
同時也是“廣告軟體”,此隱藏的軟體程式將用戶信息通過網際網路傳送給廣告商,從而作為免費下載的軟體的交換條件。假設你能夠免費下載一個強大的應用程式,並且該程式能讓你完成幾乎是一個昂貴的知名品牌程式做的每一件事情?作為擁有這一不可思議的應用程式完全免費的交換,所有你需要做的就是貢獻出你的姓名、地址、電話、電子郵件和一些其他的個人信息。聽起來很不錯,不是嗎?但是,假設你的個人信息還儲存在硬碟的某處,在這種情況下,例行公事般經過網際網路會把你的個人數據傳送回廣告商處,作為交換更多的廣告的條件?我們來討論一下‘間諜軟體’,也就是‘廣告軟體’。據一個‘廣告軟體’公司Radiate宣稱,“消費者可以點擊[軟體內部]的旗幟型標欄,接受網際網路站的快取頁面查看或是訂購廣告中的產品。當用戶回到網上,適當的信息被送到廣告商那裡,而且被Radiate追蹤下來。”Radiate使用了名為Aureate的軟體程式。它在安裝原始的免費應用程式的同時被安裝。同時還有其他一些公司提供另外的基本上也是相同的事情——記錄用戶的瀏覽習慣,然後通過網際網路上載這些信息,作為交換更多廣告的免費產品。
間諜軟體間諜軟體
你怎樣才能預先知道此事
下載站點,例如ZDNet下載軟體,已經開始在有廣告商資助的‘間諜軟體’應用程式上貼出注意標籤說明。在許多情況下,一個非廣告商資助的應用程式版本也可以得到,如流行的Go!zilla程式就是這種情況。如果在下載的時候不清楚,要特別注意在程式安裝過程中要求的許可協定和註冊信息。相當多的高質量免費應用程式,或是免費軟體,都擁有看似標準的用戶註冊表格——但是請小心,其中有一些,實際上是為所謂的‘廣告軟體’或‘間諜軟體’統計數據的未來來源。原則上,該軟體的提供者應該通知用戶這些信息可能會被用於廣告商。實踐中,這樣坦白的人非常難得,幾乎沒有。當你在點擊並閱讀所有提供的文本連線時,是非常值得的。請注意,軟體提供者並沒有被要求提供該信息,所以請按此概括準則做:任何離線應用程式的用戶界面包含有旗幟標欄廣告的都可能正在使用‘間諜軟體’。下次你連線到網際網路的時候,收集到的有關你點擊哪條廣告的信息,還有你查看廣告站點的持續時間都會送回獨自的廣告商處。一次新鮮的廣告補給——通常是基於你以前的廣告點擊或是安裝時提供的人口統計學的信息——將會給你的應用程式界面以代替當前廣告。警告:假定你已經厭煩了你的免費軟體且使用Windows的“添加/刪除程式”功能把它從你的系統中刪除。猜猜會怎樣?‘間諜軟體’仍然會保留在你的計算機上,常常就是深埋於Windows的系統註冊表里。

防治辦法

預防方式

1. 手動或利用軟體,把它們所屬公司的網址放入屏障之內。
2. 謹慎安裝隨軟體附帶的外掛程式。例如3721科技公司旗下的“上網助手”及“網路實名”、百度外掛程式、劃詞搜尋網路豬等。
3. 對於Windows系統需要經常更新(update),為Internet Explorer的漏洞打上補丁。使用非IE瀏覽器,例如Firefox、Opera等,可以避免很多網頁惡意代碼。使用反間諜軟體對系統進行掃描和清理,例如Windows Defender、AVG Anti-Spyware、CounterSpy等。
4. 使用可以監視程式通信情況的防火牆,例如在Windows下可以使用ZoneAlarm防火牆,禁止不明程式訪問網路。
5. 檢查系統中是否還有殘存的不明程式,可以使用IceSword,大部分核心級的惡意程式,都會在IceSword中現形,當然也要求用戶對Windows系統比較熟悉。

常用方法

最新的調查報告顯示了反間諜軟體工具的不足,“間諜”仍在網路上肆無忌憚地活動。但也不必垂頭喪氣,學習並遵循以下的十招辦法,間諜軟體將對你束手無策。
有的時候,真理和善良總是受到傷害,我們剛剛在反垃圾郵件上取得了一些進展,然而,間諜軟體卻又將填補這項空白。未來幾年裡,你將不得不耗費寶貴的時間,在工作中、在家裡與間諜軟體作鬥爭。
雖然市面上有數十種新的反間諜軟體工具供我們使用,而且這些程式確實很有幫助,但是,運行反間諜軟體實用程式只是解決方案的一部分,還有很多其他事情需要你做,請按照我們提供的10個步驟指南開始行動吧。
了解你的敵人
如果你天真地把間諜軟體定義為Web網站留下來的小cookie檔案的話,那么,你的挫折將永無止境。所有類型的變臉軟體(Scumware)都將為你帶來不幸,主要的四大類型是:
間諜軟體(Spyware):一種可以秘密地收集有關你計算機信息的軟體,並且可能向一些未知網站傳送數據,包括“鍵盤記錄軟體”或“按鍵捕獲寄生蟲”(不要與“惡意軟體(malware)”混淆,惡意軟體包括病毒、蠕蟲和特洛伊木馬程式)。
廣告軟體(Adware):一種可以隨機或者根據當前瀏覽器內容彈出廣告和條幅的軟體。
劫持軟體(Hijackers):可以改變瀏覽器主頁、預設搜尋引擎,甚至改變你的方向,使你無法到達你想到達的網站。
小甜餅檔案(Cookies):可以跟蹤Web網站參數選擇和口令的小型檔案。軟體可以在用戶不知道的情況下收集和擴散該信息。
以上四種類型中,廣告軟體是最討厭的,而劫持軟體和間諜軟體卻是危害最大的。
退出Internet Explorer
我們無法指控微軟公司犯下了生成間諜軟體的罪行。但是,Windows的設計,而且尤其是Internet Explorer卻肯定使微軟公司成了“間諜”的“同謀”。我們鼓勵用戶轉向其他產品,例如Firefox或者Opera,兩者均預設設定封鎖彈出文字。Firefox是免費的且已很普及,Opera則需要花幾美元。
需要證據來證明Internet Explorer存在著問題?在筆者運行Windows XP Home的主要測試PC上,使用Internet Explorer和Outlook Express,結果發現了739個間諜軟體。而在筆者的個人PC上,運行Firefox和Mozilla公司的Thunderbird電子郵件套用,結果才發現了11個間諜軟體範例。而且,這11個間諜軟體均是在筆者不得不使用Internet Explorer進入某些Web網站的時候,偷偷溜進這台PC的。
然而,不幸的是,有些網站卻需要Internet Explorer,而那些與微軟公司的Outlook電子郵件客戶端有密切聯繫的用戶也必須使用它。不過,還是有辦法可以把感染Internet Explorer間諜軟體的速度降下來。首先,禁止微軟 ActiveX支持。在Internet Explorer里,點擊Tools→Internet Options→Security→Custom Level,然後,點擊迫使ActiveX控制在運行之前請求允許的檢查框。
其次,安裝Google Toolbar,它也可以封鎖彈出文字。它適用於Internet Explorer 5.5及更高級產品,因此,你或許還需要升級瀏覽器。同樣地,也可以運行只在Internet Explorer之內工作的彈出文字封鎖軟體,如StopZilla、123Ghosts Popup Killer、Ad Killer、Ad Muncher以及Anti Popup Pro。
阻止下載
仔細遵守如下要求:千萬不要讓技術新手嘗試下載任何東西。然後,為他們下載並安裝Google Toolbar。
用戶希望從Web上下載“免費”程式,但是,請教會他們如何區分為了獲得實用程式而訪問的網站,與出現在彈出廣告和垃圾郵件里的網站。
下定決心,千萬別泄氣,接受教育是不完善的這個事實。間諜軟體傳播者在說服人們下載間諜軟體方面通常做的比你更好。所以,有必要對用戶解釋清楚,在瀏覽器頁面旁邊看起來象廣告或朋友發給他們的那些連結,實際上是間諜軟體散播的最常見方式。提醒你的用戶對一些危險信號一定要敏感,如彈出的條幅廣告說可以提供免費間諜軟體檢查(這是對信任的最殘酷的濫用)。
教授備份和恢復的基本知識
由於許多用戶不會留意你的警告,因此,應該教會他們如何從災難當中恢復過來。如今,人們在計算機上有太多的東西,以致於他們懶得做各種備份選擇。 存滿備份數據的外部磁碟、磁帶系統或CD可以減輕充斥著間諜軟體的系統所帶來的麻煩,並使其回到早期沒有間諜軟體的情況,從而使一切恢復正常。
教會用戶如何在XP里生成恢復點,以及如何在每次從非知名網站下載之前設定一個恢復點。在大多新式的PC上,磁碟空間不是問題,而且,即使它們的硬碟存滿了東西,創造一些恢復點也比清除間諜軟體感染容易得多。
製作一張反間諜軟體CD
把反間諜軟體實用程式燒錄到你的CD上,製作自己的間諜軟體工具集也是個不錯的辦法。當你需要清除間諜軟體時,尋找和等待工具軟體的下載很浪費時間,CD-ROM磁碟價格很低廉,因此,多製作一些拷貝並把它們送給你的用戶也是有效的手段。就筆者自己而言,有三個免費的實用程式,還有三個商業實用程式的測試版本。這些程式的容量為2M至10M位元組,因此,標準CD上有足夠的空間容納它們。
運行至少兩種間諜軟體清除程式
根據我們的經驗,沒有任何一種間諜軟體清除程式能夠清除惡意代碼的每一部分。所有實用程式都有盲點,而間諜軟體編程人員卻正好可以利用這些盲點。每家廠商都稱其產品可以捕獲所有的東西,但是,不管何時人們用一種反間諜工具清除100項威脅的時候,另一個工具還能再找出另外十幾項威脅。
每一種間諜軟體清除程式都會檢查註冊表,但是,由於間諜軟體遵循微軟的註冊表詞條規則,因此,它根本不可能完全清除間諜軟體。
定期運行多個不同的實用程式,並確信它們都是最新的,做到這一點十分重要。付費清除程式可以提供更持續的檔案更新,即使免費件也會定期增加一些新功能。運行,更新,再運行,再更新,對付間諜軟體就要不斷重複上述步驟。筆者的一般做法是:清除系統,重新啟動進入安全模式,然後,使用另一種工具進行清除,然後,再重新啟動。
封堵桌面通信漏洞
每一次間諜軟體上傳信息都意味著更多的未來問題,因為間諜軟體可以進行自我更新,並增加新“性能”。封鎖出站信息可以提高用戶安全等級。
有一些(但不是全部)常駐反間諜軟體實用程式可以封鎖間諜軟體上載,商用產品更好一些。不過,安裝個人防火牆同樣可以封鎖上載。ZoneAlarm和Sygate Personal Firewall都很棒。
如今出售的幾乎所有品牌路由器都包括防火牆保護。尋找可以對入站和出站信息包進行全狀態檢查的產品。個人防火牆和路由器控制的組合併非大材小用,尤其是對於那些無法抵制各種新鮮網站誘惑的用戶來說更有必要。
處理DRM
在未來幾年裡,間諜軟體還將繼續存在的一個原因就是,各公司都在增加數字權利管理(DRM)在娛樂檔案以及授權許可檔案之上的使用。為這些套用留下的漏洞還將被間諜軟體利用好幾年的時間。跟蹤諸如線上商店回頭客之類的Cookie檔案使得Web網站更人性化。但問題是,這些Cookie檔案看起來很像間諜軟體,從而很難在不殺死正常檔案的情況下做出分辨。
對於新出現的娛樂播放套用情況也是一樣,你下載的MP3音樂檔案需要確認你有在移動設備上播放這些檔案的權力,而新的反間諜軟體有可能封鎖對授權資料庫進行的DRM查詢,因為這不就是符合未經許可把系統信息傳送給第三方的間諜軟體定義嗎?這一定義適用於商業套用許可檔案和DRM套用許可檔案等,至少在套用接口水平是這樣。
一種解決辦法就是避免諸如音樂播放程式之類的DRM套用,如果你喜歡音樂,那么,尋找一種能夠定期更新其間諜軟體資料庫的反間諜軟體,因為它可以協調好保護與音樂服務。
充分發揮AOL成員資格的優勢
供AOL成員免費下載的間諜軟體保護是另一項非常有用的添加產品,筆者發現其掃描速度雖然比其他許多間諜軟體清除程式慢,但是,該程式卻在CounterSpy和SpyBot進行清除之後又發現了另外7個間諜軟體範例。
AOL還為用戶提供一些非常有價值的保護,包括為其成員提供免費的技術支持。
推薦Macintosh或Linux系統
間諜軟體主要攻擊微軟作業系統,通過Internet Explorer漏洞進入並隱藏在Windows的薄弱之處。有些間諜軟體,尤其是惡意Cookie檔案,可以在任何瀏覽器之內發生作用,但是,這只是間諜軟體當中很小的一部分。
微軟的一些軟體產品,如Internet Explorer、Word、Outlook和Media Player,一旦下載就將自動執行,從而使間諜軟體很容易乘虛而入。Linux和Mac作業系統不允許這種自動執行,從而使它們更易抵制間諜軟體。更重要的是,Windows允許任何用戶(或間諜軟體)把動態程式庫裝載至核心之中,Linux的系統訪問卻要求擁有與之相對應的管理員特權。
常用反間諜軟體產品評測
測試的三款反間諜軟體程式是:
Sunbelt Software的CounterSpy 1.5β版(尚未正式發布)、Webroot的Spy Sweeper 4和FBM Software的ZeroSpyware 2005。
各有所長
以前版本的CounterSpy和Spy Sweeper都表現不俗。兩款新版本都包括了新功能,CounterSpy的Do Not Resuscitate(DNR)技術尤其令人關注。據Sunbelt介紹,DNR提高了防止“死而復生”(有些間諜軟體阻止被刪除)的可能性。
不負眾望,Spy Sweeper 4的功能有了重大改進,可以清除88%的惡意軟體。而CounterSpy 1.5β版本在測試當中可以清除比前一版本更多的廣告軟體和間諜軟體,總體準確率高達95%。
CounterSpy 1.5的最新版本體現了Sunbelt在程式內部所做的變化,這款工具不再使用與微軟的AntiSpyware產品同樣的引擎。該公司計畫以後推出版本2,並將界面進行徹底變革。
ZeroSpyware 2005同樣表現出眾,它清除掉了86%的目標惡意軟體。與眾不同的是,還清除了96%的駐留在記憶體中的惡意進程。相比之下,Spy Sweeper只能消除85%的記憶體駐留型進程。CounterSpy也能清除掉96%。
除了掃描查找計算機上已經存在的間諜軟體,測試的三款產品還都提供了實時監控器,在一開始就讓間諜軟體和廣告軟體沒有藏身之地。ZeroSpyware更是與眾不同,它成功地阻止了企圖潛進系統的各種惡意軟體。遺憾的是,ZeroSpyware和另外兩款程式都允許網站自動被添加到“可信網站”區域。
CounterSpy和Spy Sweepe還允許其他可能有害的行為。CounterSpy允許ISTbar工具列溜過其防線,ISTbar隨後就會添加到Windows的註冊表里,作為活動的進程運行。Spy Sweeper同樣允許ISTbar,還允許搜尋及安裝其他檔案的SideFind BHO集成到瀏覽器里。在這兩種情況下,CounterSpy和Spy Sweeper在下一次預定掃描時會檢測到惡意軟體,並加以刪除。
雖然ZeroSpyware在利用實時監控器防止感染方面表現最佳,但該程式界面上,報警的位置卻很難更新。相比之下,CounterSpy會在螢幕右下角顯示報警內容,所以不會干擾該程式界面及其他打開的視窗。 Spy Sweeper結合了兩種方案。對於有可能引起感染的已知間諜軟體,Spy Sweeper會彈出主程式視窗,然後用報警內容加以覆蓋。否則,它會在螢幕右下方顯示報警內容。
使用不便
ZeroSpyware擁有出色的性能,但這款程式的易用性讓人不敢恭維。比如,很難找到更新的選單,它隱藏在“一般設定”選單中,部分程式選項出現在很難達到的另一個視窗,因為該視窗的一部分仍在可視區外面。
一個禁用“讓廣告軟體和間諜軟體死而復活的進程”的辦法是重新啟動PC,進入“安全模式”。遺憾的是, 在“安全模式”螢幕解析度較低的情況下,CounterSpy的界面顯得太大了。這樣一來,幾乎沒法找到掃描按鈕。Spy Sweeper和ZeroSpyware在“安全模式”下表現都不錯,Spy Sweeper還專門為此提供了特殊的診斷版本。
測試的這三款程式保護功能都非常強大。雖然ZeroSpyware在防止感染方面性能出眾,但其干擾性很強的報警機制可能對已經重度感染的PC而言不太理想。Spy Sweeper可能是個比較好的選擇,因為它集成了報警機制。ZeroSpyware和Spy Sweeper的價格都是30美元,包括一年的免費更新和免費線上支持。
儘管Spy Sweeper和ZeroSpyware都表現不俗,但給人留下最深印象的還是CounterSpy,在測試中,其新的引擎和改進的技術提供了最高的間諜軟體刪除率。

如何刪除

監測並刪除‘間諜軟體’需要附屬檔案的軟體。一個免費的,非廣告資助的名為OptOut的產品,來自Gibson研究公司,可以識別若干被認為會是‘間諜軟體’的程式,包括了Radiate的Aureate。OptOut掃描用戶的硬碟,允許用戶立即刪除可疑的‘間諜軟體’或是監視它的繼續行為。另一個免費且非廣告資助的產品,ZoneAlarm,監視所有的網際網路通信量,允許用戶停止任何未經授權的傳遞數據過程,隔離用戶的計算機不受諸如來自‘間諜軟體’的廣告傳遞。注意:在免費軟體仍在安裝著的同時刪除‘間諜軟體’程式可能禁止該免費套用軟體的使用。依然會存在的問題:你還會使用免費應用程式嗎?這交易。一方面,你正在敞開自己成為絕對的最終廣告目標。另外一方面,有的人正努力編寫你在免費使用著的高質量程式的代碼,只需要你接受安裝廣告商的‘間諜軟體’作為他們的努力工作的補償。
間諜軟體間諜軟體
間諜軟體(Spyware)是能夠在使用者不知情的情況下,在用戶電腦上安裝後門程式的軟體。 用戶的隱私數據和重要信息會被那些後門程式捕獲, 甚至這些 “後門程式” 還能使黑客遠程操縱用戶的電腦。
防治間諜軟體,應注意以下方面 :
第一,不要輕易安裝共享軟體或“免費軟體”,這些軟體里往往含有廣告程式、間諜軟體等不良軟體,可能帶來安全風險。
第二,有些間諜軟體通過惡意網站安裝,所以,不要瀏覽不良網站。
第三,採用安全性比較好的網路瀏覽器,並注意彌補系統漏洞
第四,只要手機不開通上網功能,所有的間諜軟體將不能監控。

相關詞條

熱門詞條

聯絡我們